wenqi 发表于 2004-4-11 13:46:38

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

[这个贴子最后由wenqi在 2004/04/24 06:22pm 第 10 次编辑]


这篇贴子里存在一些问题,等我以后有时间进行修正!下面简单做个更正:
1.3楼的图适合大多数人,请按3楼的图设置
2.规则30可以不要
3.请将规则10、25、30的目标端口修改为 大于1024(gt 1024)

对IP过滤感兴趣的,看看 alanlql兄 的这篇贴子,强就一个字!!!
http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=1452&show=0
3楼的图适合大多数人!!!
严正声明:
本贴是在参照 alanlql 的 一篇贴子的基础上,结合自身情况,并作了适当的修改而成!!!
alanlql兄的原贴在此:
http://www.516600.com/cgi-bin/lb5000/topic.cgi?forum=54&topic=884
请允许我向 alanlql兄 致以崇高的敬意!!!
也欢迎高手多提宝贵建议,多谢!!!



详细解释:
Security Level:(安全等级)
设为None时,禁用IP过滤.设为Low(低)、Medium(中)、High(高)时,相应级别的IP过滤规则生效.在创建IP过滤规则时,可以设定规则的Security Level(安全等级),默认的安全等级为Low.
本贴里的3条规则的安全等级均设为默认的Low.
Public Default Action:(公共默认动作)
一个通过Public Device Interface(公共设备接口)传送的数据包(即源自或流向因特网的数据包),不符合任何一条IP过滤规则时,执行设定的Public Default Action(公共默认动作). 设为Deny(拒绝)时,将数据包丢弃;设为Accept(接受)时,允许数据包通行.
P.S.:Public Device Interface(公共设备接口),如ppp-0,ppp-1,eoa-0,ipoa-0等.
本贴将非经许可的数据包(源自因特网),全部拒绝.
Private Default Action:(私有默认动作)
DMZ Default Action:(非军事区默认动作)
Private Default Action,控制的是局域网内的数据包,通常设为Accept(接受).
DMZ Default Action,通常设为Deny(拒绝).
----------------------------------------------------------------------
Rule ID(规则ID):
数字较小的优先,建议设为10,20,30...
对于一个数据包,按 Rule ID 从小到大依次检测,有符合的IP过滤规则,按IP过滤规则设定的动作或是Deny(拒绝)或是Accept(接收).找到符合的IP过滤规则后,不再继续向下检测.如果没有相符合的IP过滤规则,根据数据包通过的接口(Public,or Private, or DMZ),执行相应的默认动作,就是前面提到的Public(Private,DMZ) Default Action.
Direction(方向):
即数据包传送的方向,分为Incoming(进来)和Outgoing(出去).
Incoming(进来),例如数据包从因特网传到我们的小猫,数据包的发出者是因特网的某一台主机,目的地是我们可爱的小猫猫.
Outgoing(出去),和Incoming(进来)方向相反.
-------------------------------------------------------------------------
10规则,针对的是因特网传给我们的数据包.只有使用TCP协议,并且访问我们的1056~49151端口的数据包才会被接受.
假定有一个来自因特网的数据包意图访问我们猫的80或是69或是23等端口,理所当然的被ADSL猫拒绝了,这样就可以有效避免网络上对猫的恶意攻击.如果你像我这样设定IP过滤规则,猫的端口使用默认的80 21 23,反正别人也访问不到.

下面说说端口,据官方资料,0~1023端口一般由系统服务保留使用,为了安全性考虑1024~1055端口也建议屏蔽;1024~49151端口是一般应用较多的端口;49152~65535基本不用.
20规则,允许我们的数据传向因特网.
30规则,为DNS而设.只有当一个数据包满足以下条件时,来自202.102.12.141(我们当地的DNS),协议为UDP,源端口为53,目标端口为1056~49151,这个数据包才会被Accept(接受).
除此之外的来自因特网的数据包,统统丢弃,喵活活
---------------------------------------------------------------------------
如果你有额外的需要,请自行添加相应的IP过滤规则!!!

wenqi 发表于 2004-4-11 14:09:53

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

按图所示设置IP过滤,可以解决部分ADSL猫频繁掉线的问题!

wenqi 发表于 2004-4-11 16:47:49

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

[这个贴子最后由wenqi在 2004/04/11 08:43pm 第 1 次编辑]


这张图适合大多数人用,如果你对IP过滤不是很了解,建议按这张图设置.
规则25,是为了某些程序而设,如网络游戏泡泡堂,如果你没有特殊需要,可以不创建规则25.



看到那么多人问IP过滤,就把自己精心设置的IP过滤帖出来,结果...
郁闷啊

echang88 发表于 2004-4-11 17:45:51

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

我做BIMAP了,靠系统里的防火加杀毒把住安全关了。

BOYMZJ 发表于 2004-4-11 18:32:23

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

水平太差看不懂,可以讲一下吗?例如30规则,53端口是干什么的?目标端口为什么是1056到49151,如果能详细讲一下10,20,30最好了。
我水平很差,想学一下,但高手却很少愿意理我这种菜鸟的?惭愧啊!

crazychild 发表于 2004-4-11 19:52:31

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

怎么打里面的字啊?我改不了哦~~
你圈住的那些啊~~不知道怎么改

wenqi 发表于 2004-4-11 20:25:48

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

贴子已更新!
有什么不明白的话,自己多试一试,不是很难的...

wenqi 发表于 2004-4-11 20:29:19

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

下面引用由BOYMZJ在 2004/04/11 06:32pm 发表的内容:
水平太差看不懂,可以讲一下吗?例如30规则,53端口是干什么的?目标端口为什么是1056到49151,如果能详细讲一下10,20,30最好了。
我水平很差,想学一下,但高手却很少愿意理我这种菜鸟的?惭愧啊!

简单讲了一下,希望你会看的懂
闻道有先后,术业有专攻,自己多学、勤问就行了!
有问题欢迎你和我一起探讨.

alanlql 发表于 2004-4-11 20:36:55

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

hehe,我那个贴子也是现学现卖的,夸奖了。

wenqi 发表于 2004-4-11 20:49:20

[已更新][大猫频繁掉线的进] IP过滤 实例!!!

下面引用由alanlql在 2004/04/11 08:36pm 发表的内容:
hehe,我那个贴子也是现学现卖的,夸奖了。

我看了你的贴子后,深受启发啊.
还请多提宝贵意见啊!!!
到现在,都可惜你的那张贴子居然没有加精,怒
页: [1] 2 3 4
查看完整版本: [已更新][大猫频繁掉线的进] IP过滤 实例!!!